CYBERSECU, le contamos todo sobre las auditorías de Ciberdefensa de Orange
El cibermalware amenaza a todas las organizaciones y a todos los sectores. Como se trata de un tema cada vez más central, realizamos periódicamente auditorías dirigidas por especialistas externos. Hoy hemos decidido hablarles de la última serie de auditorías de seguridad realizadas por Orange Cyberdéfense.
Orange Cyberdéfense: 3 auditorías entre marzo et agosto de 2022
Nuestras plataformas se han beneficiado de un análisis realizado en profundidad por parte de los equipos de la división de ciberdefensa de Orange, sometiéndose a tres auditorías sucesivas en el espacio de 6 meses.
Marzo 2022: Auditoría n°1
En marzo de 2022, la primera auditoría tenía por objeto comprobar la solidez de la autenticación, la partición vertical y el filtrado anti-XSS*. En otras palabras, responder a estas tres preguntas:
- ¿Es posible que un usuario sin cuenta pueda identificarse?
- ¿Es posible que un usuario autenticado aumente sus privilegios administrativos?
- ¿Es posible que un usuario autenticado engañe a otros usuarios con técnicas de phishing?
Este primer estudio identificó un fallo de derivación del filtro anti-XSS, que se corrigió en menos de 24 horas. Más allá de esta observación puramente técnica, nuestros equipos pudieron analizar que, en varios proyectos, la función de administración estaba demasiado repartida, sin un verdadero control y, sobre todo, sin «mantenimiento». Por ello, una coordinación con los distintos responsables del proyecto, se inició una acción de «limpieza» y prevención.
La auditoría también puso en relieve numerosas cualidades aplicadas desde la creación del proceso: «Las pruebas realizadas han demostrado que se han aplicado buenas prácticas de seguridad en el ámbito cubierto por la auditoría», extracto del informe de la Auditoría de Ciberdefensa.
Abril de 2022: Auditoría n°2
Una segunda auditoría comienza desde el mes de abril de 2022. Esta vez, el objetivo era comprobar las protecciones anti-SQL* de la plataforma. Se detectó un fallo en una de las 50 aplicaciones (la aplicación Asistencia). Este fallo se corrigió en las 24 horas que siguieron a su detección.
Al mismo tiempo, un control de 360 grados de las distintas aplicaciones puso en evidencia muchos puntos positivos en materia de seguridad:
● Baja exposición de servicios: el servidor sólo expone los servicios necesarios para su funcionamiento correcto, reduciendo así el alcance de los ataques.
● Cifrado de la comunicación: la comunicación entre el cliente y el servidor se cifra mediante un protocolo robusto que garantiza la integridad y confidencialidad de los datos intercambiados
● Partición vertical: no se han identificado defectos de partición vertical, por lo que un usuario no puede elevar sus privilegios.
● Cookie de sesión: la cookie de sesión principal, que permite en particular conceder privilegios a los usuarios autenticados, está configurada según las buenas prácticas de seguridad.
Agosto de 2022: Auditoría n° 3
En el verano de 2022, Orange Cyberdéfense continuó con su tercera auditoría, destinada a evaluar los mecanismos técnicos de seguridad implementados en nuestras plataformas. Esta vez, se examinó el código fuente. Se identificaron tres fallos menores de inyección SQL, así como algunas debilidades en el control de los derechos de acceso a ciertas aplicaciones menos sensibles. Estos fallos se resolvieron en 72 horas.
Este último estudio también permitió aprobar varias opciones técnicas que contribuyen a un alto nivel de seguridad:
● El uso de marcos sólidos,
● Mecanismos de autenticación eficientes,
● Una superficie de ataque reducida sin cuenta de usuario.
Open Digital Education, 9 auditorías desde su creación
Desde el 2014, nuestras plataformas han sido objeto de 9 auditorías de seguridad. Orange Cyberdéfense no es la primera agencia que examina nuestro espacio digital. Cada una de estas auditorías ha dado lugar a recomendaciones que nos proponemos aplicar lo antes posible. Los ciberataques forman ya parte del día a día de las empresas digitales. De hecho, el mes de septiembre pasado, la propia Orange Cyberdéfense fue víctima de una filtración de datos.
Para anticiparnos a estos riesgos y reaccionar con eficacia y capacidad de respuesta, contamos con el acompañamiento de un experto, un Auditor de Protección de Datos Personales. Frente al aumento de las amenazas, estas distintas medidas contribuyen a garantizar un alto nivel de protección de nuestros usuarios.
comments
Add comment